工業信息安全已成為國家安全體系的有機組成部分�����;從全球范圍來看����,工業信息安全形勢日趨嚴峻�;從國家需求來看�,各國加緊工業信息安全領域布局���;從我國現狀來看�,工業信息安全風險逐步威脅到經濟社會健康發展��。
工業信息安全是指工業運行過程中的信息安全�,涉及工業領域各個環節����,直接關系到經濟發展與社會穩定�����,包括工業控制系統安全���、工業互聯網安全����、工業大數據安全�、工業云安全��、工業電子商務安全����、關鍵信息基礎設施安全等領域��。
電力作為關鍵信息基礎設施之一���,同時電力監控系統也是工業控制系統的一個分支領域�����,電力監控系統網絡與信息安全的發展趨勢和工業信息安全的發展趨勢一脈相承����。即包括電力監控系統安全�、電力互聯網安全�、電力大數據安全��、電力云安全��、電力電子商務安全等����。
此外�,隨著《網絡安全法》于2017年6月1日正式實施�����,為更好地落實其中第三十一條規定“國家對公共通信和信息服務����、能源�����、交通����、水利���、金融�����、公共服務���、電子政務等重要行業和領域��,以及其他一旦遭到破壞�����、喪失功能或者數據泄露�,可能嚴重危害國家安全�、國計民生�����、公共利益的關鍵信息基礎設施��,在網絡安全等級保護制度的基礎上�,實行重點保護��。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定”�����?����?倳浿赋?ldquo;基礎不牢�����,地動山搖”��,打牢網絡安全等級保護制度基礎����,對于保障關鍵信息基礎設施安全至關重要���。因此需要在理清關鍵信息基礎設施保護制度與網絡安全等級保護制度在保護對象����、保護措施��、管理流程和建設實施等方面的關系的基礎上�����,認真研究關鍵信息基礎設施的等級保護基礎工作��。
因此電力監控系統需按照關鍵信息基礎設施安全等級保護要求(等保2.0)進行合規性建設���。即按照《網絡安全等級保護設計技術要求 第5部分:工業控制安全要求》�����、《網絡安全等級保護基本要求 第5部分:工業控制系統安全擴展要求》�、《網絡安全等級保護測評要求 第5部分:工業控制系統安全擴展要求》等具體要求進行合規性建設�����。
新型的防護措施
1��、工業控制環境下的工控安全產品的逐步推廣和應用
1.1工業防火墻
工業防火墻是專門為工業控制系統開發的信息安全產品��。適用于SCADA�、DCS����、PCS�、PLC等工業控制系統����,可以被廣泛的應用到核設施����、鋼鐵�����、有色�����、化工�、石油石化����、電力��、天然氣�����、先進制造�、水利樞紐�����、環境保護��、鐵路��、城市軌道交通����、民航���、城市供水供氣供熱以及其他與國計民生緊密相關領域的工業控制系統����。
傳統防火墻的功能:訪問控制功能����,往往用于實現工控網絡的橫向隔離要求��。主要功能體現在網絡層的控制���,包括根據IP��、端口���、mac地址進行限制數據傳輸�����。
工業防火墻的功能:首先具有傳統防火墻的主要功能�,另外最突出的一點是內置工業通訊協議的過濾模塊�����,支持各種工業協議識別及過濾��,彌補商業防火墻不支持工業協議過濾的不足���。例如多芬諾的工業防火墻支持霍尼韋爾的C200\C300控制器����、Honeywell CDA�、Honeywell FTE協議����;支持西門子的S7-200�、S7-1200�����、S7-300控制器�����、WINCC���、STEP7軟件等等�。針對工業協議采用深度包檢測技術及應用層通訊跟蹤技術���。能夠對工控網絡的數據包進行深度包解析���,目前技術一般解析到工控協議的指令層�,可以實現對非法指令的阻斷�、非工控協議的攔截�,起到保護關鍵控制器的作用����。
1.2主機安全防護系統
在幾年前���,一個病毒需要數周或者數個月才能在工業控制系統網絡中發現�����,而如今���,一個病毒在數天甚至更短時間之內就可以在多個國家的工業控制系統中發現樣本�,勒索病毒就是典型的例子����,而且病毒的變種速度之快也令人咋舌�,從WannaCry到Petya再到NotPetya也僅僅用了不到3個月的時間�����。
殺毒軟件�����,即黑名單技術���,與生俱來具有以下缺點:
(1)黑名單技術是一種檢測或防止已知惡意程序運行或進入非授權區域的方法�,大多數防病毒程序就使用的黑名單技術來阻止已知威脅�����。但由于黑名單不能阻止未知攻擊行為��,并具有一定的滯后性��,致使黑名單技術只能在傳統信息化網絡中發揮比較好的作用�,當然前提是黑名單內容的準確性和完整性要非常高�,而保證其準確性和完整性的唯一方法是要定期對其病毒庫����、特征庫甚至系統自身進行升級����,升級過程中由于不確定因素太多�,可能導致斷網���、系統崩潰等�����。正是因為黑名單技術的這種固有不確定性��,在工業控制系統安全防護中����,黑名單技術顯得力不從心���。
(2)黑名單技術在使用過程中�����,基于特征庫�、漏洞庫對系統文件等進行掃描�����,這個過程會耗費大量系統資源�,會對工業控制系統的實時性造成嚴重影響�。
(3)黑名單機制無法發現和阻止“Zero Day”漏洞的攻擊��,而白名單機制對于一切不信任�����、不確定的內容都阻止在網絡和系統之外��,包括“Zero Day”漏洞的攻擊���。因此���,在這一點黑名單機制就遜色于白名單機制����。
主機安全防護系統可以作為專用電力監控系統惡意代碼防護軟件���,其將應用程序白名單管理技術引入工控網絡安全防護���。“白名單”是指規則中設置的允許使用的名單列表�����,其意義是“被允許的”���。“白名單”是一組應用程序名單列表����,只有在此列表中的應用程序是被允許在系統中運行����,之外的任何程序都不被允許運行���。
主要功能如下:
1用戶管理
采用三權分立管理模式���,將管理員劃分系統管理員��、安全管理員��、安全審計員�����;系統管理員對用戶身份��、平臺身份系統資源等進行管理����;安全管理員負責終端安全策略的配置等��;安全審計員負責制定審計策略����、查看審計記錄等�。通過“三權分立”的管理模式���,使得系統中的不同角色各司其職��,相互制約�,共同保障信息系統的安全�。
2終端雙因子認證
主機安全防護系統用戶采用USBKEY和密碼雙重身份認證方式��,只有插入USBKEY輸入正確的口令才能登錄��,否則無法登陸����。在使用本軟件的過程中��,用于權限驗證的安全U卡必須添加到此列表中���,另外用于系統雙因子登錄驗證的安全U卡也必須添加到此列表中����。添加完成后才能正常使用雙因子登錄功能��。
3實時報警
主機安全防護系統實時報警分為��,應用程序報警�、移動存儲報警�����。應用程序報警:當執行非白名單內的程序時�����,將會產生實時報警�。報警包含程序的路徑及文件名��,信息����、報警結果分為兩種:
1) 觀察模式執行(控制模式關閉):通過��,白名單校驗:未通過�。
2) 控制模式執行(控制模式開啟):阻止�,白名單校驗:未通過��。
系統安全防護開啟后(控制模式開啟)�,執行任何非白名單內的可執行文件都將會被阻止并記錄��。
移動存儲報警:本產品可根據下發的策略對移動存儲的使用權限進行控制���。當用戶對移動存儲的訪問權限違規時就會被阻止�����。
4日志可追溯����、防篡改
日志審計是用于審計日志的工具�����,通過它可以審計本產品生成的系統報警日志以及程序操作日志����,登錄權限為審計員���。程序在此功能內可以查看用戶操作日志����、程序運行日志��、U盤日志的信息����。
用戶操作日志包含超級管理員��、管理員�����、審計員的所有操作�����,程序運行日志包含所有的白名單和非白名單的所有日志�,包含告警和攔截的全部運行記錄���。U盤的違例文件都有日志記錄����。這些日志是不可修改的�����,任何文件和操作都可以追溯�。對操作員也可以起到一個監督和追溯的作用���。
5外部設備管控
外部設備管理可以對安全U卡和普通U盤進行管理和控制�。分為白名單內和白名單外兩種狀態��。不在白名單中的U盤使用權限���,包括禁止使用�����、只讀使用���、可讀寫�。白名單U盤���,可以添加�����、刪除正常讀寫的U盤和安全U卡�。
2��、工控威脅態勢感知平臺技術
工控威脅態勢感知平臺技術是針對工控系統設備(SCADA���、DCS����、PLC���、RTU)的搜索引擎�����,意在辨識暴露在網絡空間里的工業控制系統聯網設備���、設備漏洞及其安全風險�,幫助客戶維護工控系統安全����、循跡惡意企圖人士��。
通過分布式隱匿探測技術實現工控設備的高并發掃描����,支持多種工控協議的指紋識別�,完成了對全球聯網工控設備及系統的快速�、完備的主動探測���,并在此基礎上實現了面向全球的工控設備安全威脅態勢感知����,為工控安全發展提供了真實的數據支持�����。
主要功能:
1. 工控設備全網在線探測
l 工控協議及設備的探測與定位�����;
l 常規服務的探測與定位���;
l 網絡設備及物聯網設備的探測與定位��;
2. 工控系統漏洞態勢感知
l 工控系統漏洞掃描�,漏洞庫覆蓋CVE����、CNNVD等國際和國家級漏洞庫���;
l 工控系統漏洞���、設備資產等智能分析及安全評分��;
3. 全球威脅可視化
l 掃描全球網絡的工控系統及常規服務���;
l 多維度展示掃描分析結果���,并以地域圖���、柱狀圖����、餅圖����、多層餅圖等形式呈現��。
技術優勢:
1. 廣泛的工控協議支持
支持Siemens S7����、Modbus��、IEC 60870-5-104���、DNP3����、EtherNet/IP��、BACnet���、Tridium Niagara Fox���、OMRON FINS�����、PCWorx����、ProConOs����、MELSEC-Q��、Crimson V3等多種工控服務協議指紋識別���,能獲取使用這些協議的工控設備的基本信息�����,同時也可識別常規服務��。
2. 高并發�、動態自適應的分布式隱匿探測
工控設備在網絡空間分布廣泛�,地址空間巨大�����,本系統基于多線程技術建立分布式探測架構�����,整合優勢網絡資源實現工控設備的高并發掃描�����,研究并實現了基于時區/流量分布特性的優化掃描算法���,實現了對全球工控設備信息和開放常規服務的隱匿探測和全局采集���。
3. 工業控制設備的精確定位與綜合分析
通過全面采集和分析工控設備信息���,對其進行精準定位�����,最小粒度可定位到部分省份的部分企業
4. 全球工控設備態勢感知
研究并實現基于全球地理信息的工控設備可視化展示模塊�,實現了工控設備全球安全態勢感知及工控系統的信息展示�,同時從多維度展示工控設備屬性的分析結果�����,并以地域圖����、柱狀圖��、餅圖�����、多層餅圖等形式呈現��。
5. 工控系統及常規服務的漏洞掃描與分析
工控系統漏洞庫涵蓋了CVE���、CNNVD等國際和國家級漏洞庫及我司的安全研究成果��,針對PLC設備漏洞��、上位機軟件漏洞和弱點����、VxWorks系統漏洞���、攝像頭漏洞��、應用程序SQL漏洞���、系統文件上傳漏洞等進行漏洞掃描�,為廠商提供安全解決方案���。
3�����、電力監控系統網絡安全攻防演練
通過電力監控系統網絡安全攻防演練����,驗證電力監控系統的安全性并挖掘系統及關鍵控制設備的安全漏洞��,研究針對電力監控系統的攻擊方法并展現攻擊效果�。試驗結果能夠對電力監控系統真實環境的安全評估�����、安全加固��、安全改造以及應急響應提供指導性建議�。
搭建電力監控系統網絡安全仿真平臺����,該平臺的配置可實現與工業現場完全一致����;應用程序的設計與工業現場完全一致����。用于操作環境體驗�����,包括運行人員全方位操作演練�����、學習培訓�����、故障模擬演練等�����;控制系統模擬調試����,包括控制系統的網絡通信負荷測試���;控制系統的控制功能閉環測試�;控制系統的人機操作功能測試�����;可對控制策略的可用性和有效性進行研究�,提升控制策略的優化效率和效果����;同時可在此基礎上自主構造控制系統信息安全實驗����,分析特定的信息安全技術問題在不同控制系統產品中的特性��。
仿真平臺包括:光伏仿真�����、風電仿真��、核電仿真�、水電仿真�����、火電仿真�、電網仿真����。
演練內容包括:控制過程模擬�、操作環境體驗�、人員學習培訓����、故障模擬演練�、控制策略研究����、信息安全實驗��、關鍵控制器的安全防護�����、安全監測與審計�、主機安全加固����、PLC漏洞腳本攻擊�、上位機木馬病毒攻擊���、病毒U盤攻擊����。
4�����、工控漏洞挖掘產品
漏洞挖掘產品是指基于模糊測試技術���,通過向目標系統提供非預期的輸入并監控輸出中的異常來發現目標系統的未知漏洞的一種安全檢測產品����。
模糊測試數據的生成是模糊測試的關鍵技術�����。模糊測試數據的生成方法有以下幾種:
|
|
名稱
|
說明
|
|
|
隨機生成輸入
|
低效��,但可以用來快速地識別目標系統中是否有非常糟糕的代碼���。
|
|
|
|
|
|
|
手工協議變異測試
|
比隨機生成輸入更為初級�����,不需要自動化生成����。
|
|
|
|
|
|
|
變異或強制性測試
|
從一個有效的協議樣本或者數據格式來持續不斷的打亂數據報文的
|
|
|
|
每一個字節���。
|
|
|
|
不需要對目標系統進行研究���。
|
|
|
|
|
|
|
自動協議生成測試
|
先對被測目標系統進行研究�,理解和解釋協議規約�。從而創建一個描
|
|
|
|
述協議規約如何工作的語法����。從而生成動態的數據�����。
|
|
|
|
|
漏洞挖掘產品主要應用在以下場景:
1)工控設備��、軟件發布前的漏洞發現
工控設備�、軟件供應商在版本發布之前���,利用漏洞挖掘產品對工控設備�����、軟件進行測試���,發現并修復產品的安全缺陷(安全漏洞)�,避免安全漏洞在生廠現場被黑客發現和利用�����。
2)測評機構組織的產品安全性測評���、認證
測評機構����,利用漏洞挖掘產品對工控設備�、軟件進行測試���,對其通信健壯性�����、安全性作出評價(可以依據 ISA Secure CRT 國際標準)��,并據此頒發證書����。
3)網絡建設/改造前后的安全風險評估
傳統的風險評估中主要采用漏洞掃描來檢測已知的漏洞���,利用漏洞挖掘產品可以發現未知漏洞�����,兩者結合能夠更全面地得到系統漏洞情況���。
4)網絡安全事故后的分析調查
網絡安全事故后����,可以通過漏洞挖掘確定網絡被攻擊的可能漏洞所在��,盡可能多地提供信息方便調查攻擊的來源����。
依據測試目標不同����,漏洞挖據產品主要分為以下六類:
1)命令行模糊測試器
2)環境變量模糊測試器
3)文件格式模糊測試器
4)網絡協議模糊測試器
5)Web 應用模糊測試器
6)內存模糊測試器
